TAPIOLA ANSA

Vakuutusosakeyhtiö TAPIOLAN nimissä saapuu tällainen huijauskirje.
Kun kirjettä katsoo tekstimuodossa, näkyy runsaasti erikoismerkkejä, joilla "ääkköset" ovat korvautuneet.
Tämä on helppo tapa havaita huijausposti, jos näin käy.

Myös on syytä aina katsoa ensin, mistä kirje on lähetetty. Tässä tapauksessa lähetysosoitteena on "sorbiop. fr" Ranskassa. EI vaikuta LähiTapiolalta, vai mitä?

HTML muodossa kirjeestä löytyy, sen loppuosasta, omalaatuinen teksti, ollakseen vakuutuslaitoksen asialla: "Vastuullinen pelaaminen | Vain 18-vuotiaille ja sitä vanhemmille".  

Vain HTML muodossa näkyy varsinainen ansalinkki buttonissa:"Vahvista tilini": "http://45-155-164-246. colo.transip. net/4BFvWs24319cYfI456..." Tämäkään ei vakuta LähiTapiolalta, eli kirje on VAARALLINEN pankkikirajutumisen vaativa ansa, jossa kirjautumisesi varastetaan ja tilisi tyhjennetään.

-----------------------------------KIRJE------------------------------------

ALLEKIRJOITUS - ANSA

Näinä digitaalisen allekirjoituksen mahdollistavina aikoina, tämänkin kaltainen huijaus saattaa onnistua, jos vastaanottaja ei ole varuillaan.

Yhdistykselläni oli juuri menossa Yhteisörekisterimuutos, joten ansakirje oli aika hyvin taimattu. Mahdollisesti sähköposti- tai verkkoliikennettä on seurattu?

Lähettäjä ja linkin osoite, sekä asiakirjanumero, nostatti sen verran kysymyksiä, että tarkistin "mahdollisilta" allekirjoittajilta, oliko ilmoitus asiallinen. EI OLLUT.

Lähettäjä metropoleweb. com: on brasilialainen digitaalisen markkinoinnin toimisto, joka on erikoistunut verkkosivujen luomiseen ja ylläpitoon. Mainehaitasta johtuen, uskon, että osoite on varastettu.
Linkin osoite on virustorjunnassa todettu VAARALLISEKSI. Falcon Sandbox kertoo: "Malicious domain detected. Details CONTACTED DOMAIN: "support-acrotab. de" has been identified as malicious "

--------------------------------KIRJE-----------------------------------

NORDEAN KIRJE ON ANSA

Kaikki pankeista tuleva posti, joissa on LINKKI, on VAARALLISTA.
Myös tämän kirjeen linkki vie rikollisen rakentamaan, pankin sivua muistuttavaan ansaan.
Tästä on hyvä lähteä.

Tämäkään kirje ei saavu Nordeasta. Osoite "cgi.email-001. me" ei ole Nordean osoite.
Jos Nordealla olisi asiaa, vastaanottaja olisi myös näkyvissä.
Linkin osoite on tyypillinen huijarien käyttämä lyhennyspalvelun taakse piiloitettu huijarin osoite.

Pankeissa ja muualla pankkikirjautumista vaativissa palveluissa on asioitava ainoastaan pankkien ja kyseisten muiden pankkikirjautumista vaativien toimijoiden virallisten verkko-osotteiden kautta.
Tässä tapauksessa kirjoita selaimesi osotekenttään "nordea. fi" (poista tyhjä väli pisteen edellä).

-------------------------------------------------KIRJE-----------------------------------------------

TALLENNUSTILAA MUTTA MISSÄ?

Tämä ansa toimii siten, että kun olet maksamassa tuota "edullista" 2€ maksua, kirjautumistietosi varastetaan ja pankkitilisi tyhjennetään.  Halpa muuttuikin kalliiksi.

Vastaanottajana et edes ole sinä, vaan SendPress, joka domainnimi on varastettu SendPressiltä mutta lähettäjä, tai vastaanottaja  se ei ole. Lähettäjäosoite on varastettu belgialaiselta yritykseltä: "Agme – joka on Mouscronin yleislääkäreiden yhdistys Belgiassa.
LINKKI veisi koneelle, joka löytyy Amsterdamista ja sen konetunnus on Netin mustalla listalla. Ihan aiheesta.


--------------------------------------------KIRJE--------------------------------------------

SUOMI. FI - PALVELUN NIMISSÄ HUIJAUS

Tämä huijausyritys on edellisen kirjeen (omakannan nimissä / Uusi resepti) käsialaa, joten jo se paljastaa huijarin. 
Kirje saapuu omalaatuisesta, alakomaille rekisteröidystä (.nl) osoitteesta (lähettäjä kannattaa aina tarkistaa ihan ensiksi). 

Vastaanottan osoitteen tulisi olla sinun tai minun osoitteeni. Nyt siinä on saksalainen "Klantenservice".

Linkistä löytyy vaarallinen osoite: "milikanom. nl"
FALCON SANDBOX virustorjunta kertoo:
Malicious Indicators 1: Recently registered domain detected. Details: Recently Registered domain detected: "milikanom. nl" (2 days old). Commonly seen with phishing or other suspicious domains
Suomeksi. Osoite on kahden päivän ikäinen ja se on yleensä tavattu henkilötietovarkauksien yhteydessä. Jos klikkaat, saavut verkkorikollisen rakentamalle lomakkeelle, jonka avulla sinulta udellaan pankkitiedot ja henkilötiedot ja pankkitilisi tyhjennetään.

---------------------------------------KIRJE------------------------------------

OMAKANTA - HUIJAUS PALJASTUU HELPOSTI

Tässä tapauksessa "Omakannan" - nimissä lähetetty huijauskirje paljastuu helposti "ääkkösten" puutteen muodossa. Vierasmaalaisilla verkkorikollisilla on ongelmia skandinaavisten aakkosten kanssa, joten niiden puute, tai omalaatuinen esitysmuoto, on helppo tunnusmerkki huijauksesta. Paljastava kuvakaappaus on TXT muotoisesta kirjeestä.

FALCON SANDBOX virustorjunta kertoo linkin osoitteesta: Recently registered domain detected. Details: Recently Registered domain detected: "milikanom. nl" (2 days old). Commonly seen with phishing or other suspicious domains.

".nl" maatunnus on myös yksi kohta linkissä, joka kertoo, että kirje ei saavu Suomesta. Omakannan maatunnus on ".fi".

----------------------------------------------KIRJE-------------------------------------------------

Kaiken muun kummallisuuden lisäksi kirjeen loppuosasta löytyy saksankielinen teksti, joka on ilmeisimmin varastettu jonkin kaupparyhmittymän mainoksesta.

Ainakin minulle saapuneesta kirjeestä oli tuo "Siirry OmaKantaan" .linkki poistettu vaarallisena. Hyvä niin. Palveluntarjoajani spämmisuodatus toimii ainakin toisinaan.

                                                                                              

HUIJAUS POP PANKIN NIMISSÄ

Enpä ole tainnut aikaisemmin saadakkaan huijauskirjettä POP-Pankin nimissä. 
En ole pankin asiakas,joten kirje on helppo tunnistaa huijaukseksi ilman enempää tutustumista.

POP PANKIN ASIAKKAILLE TIEDOKSI:
- kirje ei saavu Pop-Pankista (elisanet. fi ei ole pankin osoite)
- kirjeen HTML näkymässä oleva pankin logo on varastettu (allaoleva kirjekopio on TXT muodossa, jossa logo ei näy)
- LINKISTÄ virustorjuntaohjelma FALCON Sandbox varoittaa: "Äskettäin rekisteröity verkkotunnus havaittu: "poppankki. cc" (0 päivää vanha). Yleisesti nähty tietojenkalastelu- tai muiden epäilyttävien verkkotunnusten yhteydessä.
Tämä tarkoittaa, että huijari on ostanut pankin verkkotunnusta imitoivan tunnuksen hämäys tarkoituksessa. ".cc" maatunnus kuuluu Kookossaarille. Tuo linkissä näkyvillä oleva osoite veisi Tšekin tasavaltaan. 

-----------------------------------KIRJE----------------------------------------

TÄMÄ KIRJE EI TULE VEROHALLINNOSTA

Toistan: Katsokaa aina ensin lähettäjän osoite. Se on helpoin tapa erottaa huijaukset.
Lähettäisikö Suomen veroviranomainen yhtään mitään Britaniasta? Osoitteen viimeisin osa pisteen jälken kertoo, tässä tapauksessa, domainnimen reksteröintimaan (.br). "cetrus.com. br" ei ole missään tapauksessa "vero. fi" tai "suomi. fi", joista jomman kumman olisi syytä näkyä osoitteen viimeisessä osassa.
Samoin on syytä olla koskematta epämääräisen kirjeen linkkeihin.

-------------------------------------KIRJE-----------------------------------------

Tämän huijauskirjeen linkki veisi todella omalaatuiseen osoitteeseen, josta "tekoäly" kertoo seurtaavaa: "Verkkosivusto qr-scanner.operaticsites. com näyttää olevan Operatic-alustalla luotu QR-koodien skannaustyökalu tai -sovellus. Nykyaikaiset älypuhelimet, kuten iPhonet ja Android-laitteet, mahdollistavat yleensä QR-koodien skannaamisen suoraan sisäänrakennetun kamerasovelluksen kautta."

Tämä tarkoittaa, että tässä on valmis avoin QR-koodi-osoite, joka peittää alleen ihan mitä tahansa, joka ei enää selviä tuosta osoitemössöstä. Uusi tapa piilottaa verkkorikollinen. Toisaalta, tuon kaltainen osoite myös ilmiantaa huijausyrityksen.

Kirje on saman huijarin käsialaa, joka lähetti tämän allaolevan omakantahuijauksen. 

MITRE ATT&CK kertoo näistä huijausviestityypeistä:

"Hyökkääjät voivat lähettää tietojenkalasteluviestejä päästäkseen käsiksi uhrien järjestelmiin. Kaikki tietojenkalastelun muodot ovat sähköisesti välitettyä sosiaalista manipulointia." Tämä tarkoittaa, että viestit liittyvät ihmisten sosiaalisen ja joikapäiväiseen elämään, kuten "verotus", "terveys","pankkitoiminta","seurustelu", ym. ym. Näiden varjolla ujutetaan ihmisiä klikkaamaan viestissä olevaa linkkiä, joka vie sitten uhrin huijarin kynsiin kynittäväksi (kuvainnollisesti sanottuna).

AKTIAN NIMISSÄ ANSAPOSTIA

Näitä pankkien nimissä rakennettuja ansoja saapuu jatkuvasti. Aktian nimissä harvemmin.

Tähän pätee, kuten yleensä muihinkin huijauskirjeisiin ohje, "lue ensin, mistä osoitteesta kirje saapuu". Tässä tapauksessa Aktian osoitetta on väännetty muotoon "aktea. com", jolloin on saatu aikaan pankin nimen vaikutelma. Usein osoite on jotain ihan muuta.
Tuo sininen "Aktia" otsake voisi olla ihan mitä tahansa. Se ei todista kirjeen lähettäjää.

----------------------------------------KIRJE---------------------------------------

FALCON SANDBOX virustorjunta kertoo kirjeessä olevan linkin osoitteesta varoituksen:

"Haittaohjelman indikaattorit 1

Havaittu CAPTCHA-toiminto, joka on isännöity epäilyttävällä tai haitallisella verkkotunnuksella
tiedot: Väärennetty CAPTCHA-uhka havaittu: epäilyttävä verkkotunnus
Tunnistusmenetelmä: HTML-sisällön analyysi
Havaitut verkkotunnukset: zoomacademy. nl (epäilyttävä)"

Falcon kertoo lisää tästä ansasta:

2Tässä esimerkissä käytetään epäilyttävällä verkkotunnuksella isännöityä CAPTCHA-toimintoa
mikä on vahva osoitus aktiivisesta tietojenkalastelukampanjasta. Hyökkääjät käyttävät laillisen näköisiä CAPTCHA-haasteita:

-> Luodakseen väärän turvallisuuden ja oikeellisuuden tunteen
-> Ohittaakseen automaattiset tietoturvatarkistustyökalut
-> Suodattaakseen pois tietoturvatutkijat ja botit
-> Lisätäkseen uhrin luottamusta ennen tunnistetietojen keräämistä"

CAPTCHA - on testiohjelma, jota käytetään useilla verkkosivuilla robottien tunnistamiseksi. Ohjelma ei tuo minkäänlaista virusturvaa. Päin vastoin sitä käyttävä huijari yrittää luoda luotettavaa mielikuvaa huijaussivuistaan.

RESEPTI - ANSA

Tässäkin kirjeesä lähetysosoite paljastaa huijauksen. "servisae-carmoukal. com" ei ole omakanta.
Samoin henkilökohtaisia kirjeitä ei lähetetä sähköpostilistalla (undisclosed-recipients), kuten tämä kirje. jonka virustorjunta on havainnut VAARALLISEKSI. 

Omakantaan EI SAA KIRJAUTUA KOSKAAN KIRJEIDEN LINKEISTÄ!

Kirjoita selimen osoitekenttään itse osoite "omakanta. fi" (poista tyhjä väli pisteen jälkeen).

------------------------------------KIRJE-------------------------------------

TÄSSÄ SEURAAVA HUIJAUSYRITYS

Rosvon koodaustatio on ollut hakusessa. Viesti on osittain täyttä puppua. Onneksemme. 
Kirje saapuu tutusta huijarin käyttämästä osoitteesta (zoomacademy. nl), sama kuin Aktia-ansa.